부고 알림 부모님 별세를 악용한 스미싱 악성코드-s8u(.)cn/tGmtU(2023.12.28)

오늘은 부고 알림 부모님 별세를 악용한 스미싱 사이트인 s8u(.)cn/tGmtU(2023.12.28) 에 대해 알아보겠습니다.
일단 문자는 다음과 같이 비슷하게 옵니다.
부모님께서 별세 하셨기에 아래와 같이 부고를 전해 드립니다.장례식장
부모님 마지막 가시는길 외롭지 않게 부디 오셔서 참석하여주세요.
[Web발신][부고]18일 저녁 10시경 부친께서 별세하셨습니다. 안내 
[Web발신][부고]23일 저녁 12시경 귀하의 조부께서 별세하셨습니다.안내
[訃告]부모님께서 별세 하셨기에 아래와 같이
부고를 전해드립니다
사랑하는 모친께서 별세하셨으므로 삼가 알려 드립니다.
부친께서 어제 새벽 2시에 별세하셨기에 삼가 알려 드립니다.
존경하신 부친께서 오랜 시간 동안 투병하시다 별세하셨습니다.알려드립니다.장례식장주소:
저기서 날짜는 하고 시간은 변경될 것입니다. 진짜 부고 알림 일 경우 속을 수가 있을 수가 있으니 주의하시길 바랍니다.
[교통민원]차량신호위반 범칙금 감점 처벌 고지서 발송완료
[삼성알림]ARS안심인증서비스 11/17 12:45 912,780원 해외승인 본인 아닐시 문의
[The건강보험]건강검진 진단서 발급완료. 내용조회
존경하신 부친께서 오랜시간동안 투병하시다  별세하셨습니다.알려드립니다.장례식장주소hxxps://t(.)ly/EXxxx
애도의 문자를 보내드립니다 장례식장 gourl(.)kr/oxxxxx
[Web발신][NPS국민연금]국민연금 수급자격 인정 통지서 hxxps://naver(.)me/5Yxxxxx
[Web발신][NPS국민연금]국민연금 내달 지급유예 통지서 hxxps://naver(.)me/5Luxxxxx
[건강보험공단]2023년건강검진 통보내역 정상발송.내용보기 hxxp://y03(.)axxxx.pics
[Web발신]국민행복카드금융사고피해가의심되는거래가 감지되어 현재부터 고객님의 거래가 제한됩니다. 대상거래
[민원]쓰레기방치 및 투기로 신고가 접수되어 알려드립니다. hxxps://han(.)gl/NP
금일 부친께서 노환으로 운명하셨습니다.삼가알려드립니다.장례식장 hxxp://buly(.)kr/Aam
어머님께서 금일 4시 별세하셨기에 부고 전해 드립니다 식장주:hxxps://bit(.)ly/41N
[민원]쓰레기 무단투기로 단속되어 과태료 부과되었습니다.과태료 확인
우편번호 오류로 인해 배송이 보류되었습니다. 최대한 빨리 작성하여 다시 보내주세요: www.korea(.)com 발송 주소 업데이트 링크 활성화를 위해 1번 회신 부탁드립니다.
이며 해당 부고 알림 피싱 사이트는 다음과 같이 접속을 시도합니다.

모바일 부고장 피싱 사이트

http://s8u(.)cn/tGmtU->https://부고장(.)joolakorea(.)com/

일단 사이트에 접속하면 다음과 같이 접속이 되는 것을 확인할 수가 있습니다.
일단 해당 사이트 내용은 언제나 똑같거나 비슷한 방법을 사용합니다.
본인의 부친께서 그동안 오랜 병중에 계시다가 어제 밤 돌아가셨습니다.
저희 가족들은 현재 많은 슬픔 가운데 있으며
아버님의 명복을 빌고 있습니다.
이후 장례절차는 아래와 같이 진행이 되므로
문상 삼고 해 주시기를 부탁드립니다.
이라고 돼 있는데 해당 부분은 웹 소스를 보면 팝업 형식으로 돼 있는 것을 확인할 수가 있습니다.

피싱 사이트 웹 이미지 호출 및 클릭 이벤트 함수

<script src="js/zepto.min(.)js"></script>
<script>
	function downAlert(){
		alert("장례식장 장소와 시간을 보기위하여 확인을눌러주세요.");
		window.open("down(.)php");
	}
    var $main = $('.preview-main');
    var css_obj = $main.data('css');
    $main.css('background-color', css_obj.backgroundColor);

    $('.J_prev').on('click', ()=>{
        tabPage(1)
    });
    $('.J_next').on('click', ()=>{
        tabPage(-1)
    });
    var wrapper = document.getElementById('wrapper');
    function tabPage(is_up) {
        wrapper.contentWindow.postMessage(is_up, '*');
    }
	//window.open("down(.)php");
</script>
</body>

 

코드 설명

코드는 HTML 문서 내에 포함된 JavaScript 코드입니다. 각 부분에 대한 설명은 다음과 같습니다:
1.<script src="js/zepto(.)min(.)js"></script>:해당 줄은 Zepto(.)js 라이브러리를 로드하고 있으며  Zepto.js는 jQuery와 유사한 DOM 조작을 위한 경량 JavaScript 라이브러리
2.<script>부터 </script> 사이의 코드:
function downAlert() { ... }:downAlert 라는 JavaScript 함수를 정의 해당 함수는 장례식장 장소와 시간을 보려고 확인을 눌러주세요. 라는 메시지를 포함하는 경고창을 띄우고, 사용자가 확인을 누르면 down(.)php 페이지를 새 창으로 열게 되고 여기서 down(.)php는 안드로이드 스마트폰 사용자를 공격하기 위한 악성코드가 준비돼 있습니다.
$main 변수를 선언하여 클래스가 preview-main인 요소를 찾음
$main.data('css')를 사용하여 preview-main 요소에 연결된 데이터 속성 중 css 속성값을 가져와 css_obj 변수에 저장
css_obj.backgroundColor 값을 사용하여 preview-main 요소의 배경색을 설정
.J_prev 클래스를 가진 요소에 대한 클릭 이벤트 핸들러를 등록하여 tabPage(1) 함수를 호출
.J_next 클래스를 가진 요소에 대한 클릭 이벤트 핸들러를 등록하여 tabPage(-1) 함수를 호출
wrapper 요소를 변수 wrapper에 할당

모바일 부고장 피싱 사이트 정보

tabPage 함수를 정의하여 인자 is_up 에 따라 wrapper의 contentWindow에 메시지를 보내는 역할
3.</body>:HTML body 요소의 마지막을 나타내며, JavaScript 코드의 끝을 표시
입니다. 즉 기본적으로 백신 앱을 사용을 하는 것을 추천하며 최소 V3 정도는 설치해서 사용하면 구글 플레이 스토어 에서도 악성코드도 발견되고 있기 때문에 항상 조심해서 사용하시면 됩니다.
물론 무료 V3는 광고 포함이기 때문에 조금만 돈을 투자해서 광고를 없애고 사용을 하거나 아니면 13,000원 정도며 개인적으로 사용하는 Eset(이셋) AV-TEST에서 좋은 제품들을 선택할 수가 있습니다. 무료는 어떻게 보면 한계가 있고 악성코드 감염을 통해서 피해 보는 금전적인 피해보다 2만 원 정도 지급을 하는 것을 추천합니다.